安全专用码头-注册中心

Question

如何设置专用安全坞-注册表。

我通过掌舵安装了

现在，我如何使它安全(TLS证书)，以便我可以推动和拉到注册表从码头和库伯内特斯部署？

我可以看到有一个Helm配置：

tlsSecretName   Name of secret for TLS certs

更新-当前状态：我能够使用TLS工作和安装证书经理：

helm install stable/docker-registry --set tlsSecretName=example-com-tls

我在证书方面不强，但我不清楚以下几点

1.

我现在可以创建一个只接受该证书不能启动的请求的“侵入”(带有证书的秘密)吗？明天我将查看@xzesstence的建议链接。

2.

我想我需要告诉docker push在哪里找到证书？也许这个(，我明天要试试)：https://docs.docker.com/engine/security/certificates/

Answer 1

查看正式的码头管理员教程https://docs.docker.com/registry/deploying/

尤其是要点获得了一个证书

总之，您需要获得一个证书并将其放在/certs中(或者更改下面的停靠器运行命令-v /cert的文件夹挂载)。还要检查证书名，或者重命名为domain.crt，或者在docker命令中更改文件名。

那就跑

​

docker run -d \
  --restart=always \
  --name registry \
  -v "$(pwd)"/certs:/certs \
  -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  -p 443:443 \
  registry:2

​

如果您没有证书，可以使用letsencrypt https://letsencrypt.org/

也许您想用letsencrypt签出这个startscript。(未经测试)这样做的好处是，您集成了letsencrypt服务，可以自动更新许可证https://gist.github.com/PieterScheffers/63e4c2fd5553af8a35101b5e868a811e。

编辑:因为您在Kubernetes集群上使用了Docker，所以这个伟大的教程是https://medium.com/@jmarhee/in-cluster-docker-registry-with-tls-on-kubernetes-758eecfe8254